DX、クラウド、AIが急速に普及し、企業のデータ活用が当たり前になった近年。
それに合わせて 個人情報保護法も大きく変化 し、IT企業が押さえるべきポイントも増えてきました。

この記事では 弊社設立の2021年以降に起きた主な動き を、実務の観点からわかりやすく整理して紹介します。

■ 2022年4月施行：2020年改正法の本格運用開始

2021年以降でもっともインパクトが大きかったのが、この 2022年施行の改正。
情報漏えいが社会問題化したこと、デジタルサービス利用が一気に拡大したことを背景に、企業の義務が大きく強化されました。

◆ ① 漏えい報告の「義務化」

これまで“努力義務”だった報告が 義務化 されました。
具体的には以下のようなケースで、

• 個人情報が漏えいした（可能性も含む）
• 不正アクセスを受けた
• 誤送信・誤共有をした

該当する場合は、個人情報保護委員会（PPC）への報告、本人への通知が原則必須です。

IT部門にとっては、インシデント対応フローの見直しがほぼ必須になったポイントです。

◆ ② 不適正利用の禁止

目的外利用や不透明なデータ活用に対し、明確に「禁止」規定が入りました。
AI学習・ログ分析・マーケティングで特に注意すべき点です。

• 収集目的と整合しないAI学習

• 第三者を経由したデータ横断利用

• 利用目的を曖昧にした行動履歴の収集

などはリスクになります。

◆ ③ 利用停止・消去請求の範囲拡大

個人から「削除してほしい」と求められた際、対象となる範囲が以前より広くなりました。

• バックアップ

• 古いログ

• 匿名化されていない解析用データ

なども対応が必要になるケースがあります。

◆ ④ 「仮名加工情報」の新設

社内分析向けに、個人を特定できない形で扱う「仮名加工情報」が新たに定義されました。

使いどころ

• 内部データ分析（ユーザー行動分析、品質改善など）

• AIモデルの検証

• 内部統計処理

匿名加工情報ほど厳しい要件が不要で、日常的なデータ分析で使いやすくなったのがポイントです。

◆ ⑤ クラウド・海外サービス利用時の説明義務強化

海外事業者や海外データセンターを利用するサービスを使う場合、ユーザーへ以下の説明が必要に。

• どの国にデータが渡るのか

• その国のデータ保護体制

• 再委託先の状況

SaaSが当たり前のIT企業にとっては、プライバシーポリシーの改訂がほぼ必須となりました。

■ 2023年：法改正というより“運用強化”の動き

2023年は大幅改正こそなかったものの、次のような動きが強まりました。

● ガイドライン・Q&Aの更新

• AIによるデータ活用の扱い

• Cookie・広告識別子の扱い

• 漏えい報告の具体的運用

など、実務レベルで判断に迷いやすい部分の解釈が明確化。

● デジタル社会形成基本法との調整

官民データ連携やデジタルインフラ整備に関する方向性が示され、
「保護しつつ活用する」バランスが議論の中心に。

■ 2024年〜現在：AI時代に向けた運用整備が加速

2024年以降は、AI普及を背景に、個人情報保護委員会によるガイドライン更新や業種別のQ&Aがさらに充実しています。

特に話題のポイント

• AI学習データに個人情報が含まれる場合の扱い

• ユーザー行動履歴（Cookie・広告ID）の透明性向上

• データ削除請求に関する実務解釈の整理

• クラウド委託先管理の詳細化

法律そのものの大改正はまだありませんが、
AI・データ活用時代に備えた“運用フェーズの強化”が進んでいる と言えます。

■ IT企業が今やるべきこと（まとめ）

2021年以降の流れを踏まえると、IT企業に必要なのは次の3つです。

1. インシデント報告フローの整備

誤送信や外部サービスの侵害など軽微なケースでも報告が必要になる場合があります。

2. データ活用時の目的管理

AI学習・分析のプロセスは特に
「何の目的で取得したデータを、どう使ってよいのか」
を明確化する必要があります。

3. プライバシーポリシーと契約の更新

海外サービスの利用、再委託などの説明義務に対応した内容にアップデートしましょう。

おわりに

2021年以降の個人情報保護法は、
“守り”と“活用”のバランスを取りながらデータを扱う時代への移行期 といえます。

IT企業にとっては負担もありますが、適切な運用を整えることで、
ユーザーとの信頼関係をより強固にするチャンスでもあります。

（2025年11月更新）